这是我的web.xml中的示例代码
<security-constraint>
<display-name>
change password</display-name>
<web-resource-collection>
<web-resource-name>change password</web-resource-name>
<url-pattern>/ResetPassword.html</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<description>Roles which can access landing page</description>
<role-name>Admin</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
只有具有“管理员”角色的用户才能访问“ ResetPassword.html”页面。
有一个Java EE API,可让我们测试当前用户是否有权访问特定角色。
request.isUserInRole(“ Admin”);
我的默认用户“ DefUser”返回false,因为他没有分配任何角色,由于DefUser无法访问“ ResetPassword.html”页面,因此出现403错误。如果我使用DefUser登录,我能否使request.isUserInRole(“ Admin”)返回true?还有其他方法吗?
我确实想使用安全性约束。这是可能存在“ DefUser”之类的用户的要求之一,该用户应有权访问未分配任何角色的所有页面。
我只想绕过这些安全性约束。 “ DefUser”是否可以访问“ ResetPassword.html”页面?
http://www.imrantariq.com/blog/
最佳答案
无法绕过Java EE安全性。
否则,它将和巧克力茶壶一样有用。